使用 MakeCert 來產生並匯出點對站連線的憑證

  • 發行項

點對站連線使用憑證進行驗證。 本文說明如何建立自我簽署的根憑證,以及使用 MakeCert 來產生用戶端憑證。 如果您要尋找不同的憑證指示,請參閱憑證 - PowerShell (部分機器翻譯) 或憑證 - Linux (部分機器翻譯)。

雖然建議您使用 Windows 10 或更新版本 PowerShell 步驟建立您的憑證,但是提供這些 MakeCert 指示作為選擇性方法。 您使用任一種方法所產生的憑證可以安裝於任何支援的用戶端作業系統。 不過,MakeCert 具有下列限制:

  • MakeCert 已被取代。 這表示無法在任何時間點移除這項工具。 當無法再使用 MakeCert 時,任何您已經使用 MakeCert 所產生的憑證將不會受到影響。 MakeCert 只用來產生憑證,而不是驗證機制。

建立自我簽署根憑證

下列步驟說明如何使用 MakeCert 來建立自我簽署憑證。 這些並非部署模型特定的步驟。 它們同樣適用於 Resource Manager 和傳統部署模型。

  1. 下載並安裝 MakeCert

  2. 安裝之後,您通常可以在下列路徑中找到 makecert.exe 公用程式:'C:\Program Files (x86)\Windows Kits\10\bin<arch>'。 雖然,它有可能已安裝到另一個位置。 以系統管理員身分開啟命令提示字元,然後瀏覽至 MakeCert 公用程式的位置。 您可以使用下列範例,並針對適當的位置進行調整:

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. 在您電腦上的 [個人] 憑證存放區中建立並安裝憑證。 下列範例會建立對應的 .cer 檔案,您在設定 P2S 時會將此檔案上傳至 Azure。 將 'P2SRootCert' 和 'P2SRootCert.cer' 取代為您想使用的憑證名稱。 憑證位於您的 '[憑證 - 目前的使用者]\[個人]\[憑證]' 中。

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

匯出公開金鑰 (.cer)

建立自我簽署根憑證之後,請匯出根憑證公開金鑰 .cer 檔案 (不是私密金鑰)。 您稍後會將檔案中包含的必要憑證資料上傳至 Azure。 下列步驟協助您匯出自我簽署根憑證的 .cer 檔案,並擷取必要的憑證資料。

  1. 若要取得憑證 .cer 檔案,請開啟 [管理使用者憑證]

    找出自我簽署的根憑證,通常位於 [憑證 - 目前的使用者\個人\憑證] 中,然後按一下滑鼠右鍵。 按一下 [所有工作] -> [匯出]。 這會開啟 [憑證匯出精靈]

    如果您在 [目前的使用者\個人\憑證] 下找不到憑證,有可能是意外開啟 [憑證 - 本機電腦],而非 [憑證 - 目前使用者]。

    Screenshot shows the Certificates window with All Tasks then Export selected.

  2. 在精靈中,按 [下一步]

  3. 選取 [否,不要匯出私密金鑰],然後按 [下一步]

    Screenshot shows Do not export the private key.

  4. 在 [匯出檔案格式] 頁面上,選取 [Base-64 編碼 X.509 (.CER)],然後按 [下一步]

    Screenshot shows export Base-64 encoded.

  5. 針對 [要匯出的檔案],[瀏覽] 至您要匯出憑證的位置。 針對 [檔案名稱] ,請為憑證檔案命名。 然後按 [下一步]

  6. 按一下 [完成] 以匯出憑證。

  7. 您會看到「匯出成功」的確認訊息。

  8. 前往憑證匯出的位置,並使用文字編輯器開啟憑證,例如記事本。 如果您以必要的 Base-64 編碼 X.509 (.CER) 格式匯出憑證,則會看到類似下列範例的文字。 以藍色醒目提示的區段包含您複製並上傳至 Azure 的資訊。

    Screenshot shows the CER file open in Notepad with the certificate data highlighted.

    如果您的檔案看起來不像範例,這通常表示您未使用 Base-64 編碼 X.509 (.CER) 格式匯出檔案。 此外,如果您使用記事本以外的文字編輯器,則要知道某些編輯器可能在幕後引進非預期的格式。 這可能會在此憑證中的文字上傳至 Azure 時產生問題。

匯出的 .cer 檔案必須上傳到 Azure。 如需相關指示,請參閱設定點對站連線。 若要新增其他可信任的根憑證,請參閱這篇文章的本節

匯出自我簽署憑證和私密金鑰來儲存它 (選擇性)

您可能想要匯出自我簽署的根憑證,並將它安全地儲存。 您可以稍後在另一部電腦上安裝這個自我簽署憑證,然後產生更多用戶端憑證,或匯出另一個 .cer 檔案。 若要將自我簽署的根憑證匯出為 .pfx,請選取根憑證,然後使用與匯出用戶端憑證所述的相同步驟來匯出。

建立並安裝用戶端憑證

您未直接在用戶端電腦上安裝自我簽署的憑證。 您需要從自我簽署憑證產生用戶端憑證。 您接著會將用戶端憑證匯出並安裝到用戶端電腦。 下列步驟並非針對特定部署模型。 它們同樣適用於 Resource Manager 和傳統部署模型。

產生用戶端憑證

每個使用點對站連線至 VNet 的用戶端電腦都必須安裝用戶端憑證。 您可以從自我簽署根憑證產生用戶端憑證,然後匯出及安裝用戶端憑證。 如果未安裝用戶端憑證,則驗證會失敗。

下列步驟將逐步引導您完成從自我簽署的根憑證產生用戶端憑證。 您可以從相同根憑證產生多個用戶端憑證。 當您使用下列步驟產生用戶端憑證時,用戶端憑證會自動安裝在您用來產生憑證的電腦上。 如果您想要在另一部用戶端電腦上安裝用戶端憑證,您可以匯出憑證。

  1. 在用來建立自我簽署憑證的相同電腦上,以系統管理員身分開啟命令提示字元。

  2. 修改並執行範例以產生用戶端憑證。

    • "P2SRootCert" 變更為您從中產生用戶端憑證的自我簽署根憑證名稱。 確定您使用的是根憑證名稱,亦即您建立自我簽署根憑證時所指定的 'CN=' 值。
    • P2SChildCert 變更為所產生的用戶端憑證要使用的名稱。

    如果您執行以下範例而未做任何修改,您的個人憑證存放區中就會有一個從根憑證 P2SRootCert 產生的用戶端憑證,名為 P2SChildcert。

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

匯出用戶端憑證

當您產生用戶端憑證時,它會自動安裝於您用來產生它的電腦上。 如果您要在另一部用戶端電腦上安裝用戶端憑證,則必須先匯出用戶端憑證。

  1. 若要匯出用戶端憑證,請開啟 [管理使用者憑證]。 根據預設,您產生的用戶端憑證位於 'Certificates - Current User\Personal\Certificates'。 在您想要匯出的用戶端憑證上按一下滑鼠右鍵,然後依序按一下 [所有工作]、[匯出],以開啟 [憑證匯出精靈]

    Screenshot shows the Certificates window with All Tasks and Export selected.

  2. 在 [憑證匯出精靈] 中,按 [下一步] 繼續作業。

  3. 選取 [是,匯出私密金鑰],然後按 [下一步]

    Screenshot showing Yes export the private key selected.

  4. 在 [匯出檔案格式] 頁面上,保留選取預設值。 務必選取 [如果可能的話,包含憑證路徑中的所有憑證]。 此設定會額外匯出成功的用戶端驗證所需的根憑證資訊。 若缺少這項資訊,用戶端驗證即會因為用戶端沒有信任的根憑證而失敗。 然後按 [下一步]

    Screenshot for export file format page.

  5. 在 [安全性] 頁面上,您必須保護私密金鑰。 如果您選取要使用密碼,請務必記錄或牢記您為此憑證設定的密碼。 然後按 [下一步]

    Screenshot shows password entered and confirmed.

  6. 在 [要匯出的檔案] 中,[瀏覽] 到您要匯出憑證的位置。 針對 [檔案名稱] ,請為憑證檔案命名。 然後按 [下一步]

  7. 按一下 [完成] 以匯出憑證。

安裝匯出的用戶端憑證

若要安裝用戶端憑證,請參閱安裝用戶端憑證

下一步

繼續使用您的點對站設定。

如需有關為 P2S 疑難排解的資訊,請參閱針對 Azure 點對站連線進行疑難排解